0
讓我說我的網站是脆弱的xss。 然後發生了什麼。XSS成功後的動作
的Javascript nowaday不能獲得該cookie(僅Http被標記爲「真」)
能攻擊做具體的我的網站上的東西呢?
謝謝。
A
回答
2
你是說你的網站容易受到XSS的攻擊,並且它啓用了HttpOnly標誌。
如果受害者的瀏覽器支持HttpOnly標誌,那麼攻擊者無法獲取受害者的cookie,因爲它不能被惡意腳本訪問,但如果受害者的瀏覽器不支持HttpOnly標誌?在這種情況下,瀏覽器會忽略HttpOnly標誌並創建普通的可訪問cookie,因此攻擊者可以獲取cookie。
HttpOnly標誌不會阻止惡意腳本的執行,所以攻擊者可以做更多的事情。例如,關鍵記錄器,將用戶重定向到惡意站點,注入虛假登錄表單等。
相關問題
- 1. 如何在另一個動作成功後調用redux動作?
- 2. 用動態生成的JavaScript保護XSS
- 3. 運行動作成功執行動作
- 4. 成功後更改圖像成功後:
- 5. 成功構建後的Cruisecontrol操作?
- 6. 成功喜歡一個頁面後的PHP動作
- 7. 完成.load()完成後的jQuery動作
- 8. 保護XSS(理想功能)?
- 9. SaveChanges成功後如何掛鉤操作
- 10. 在成功提交ajaxForm後觸發一個動作
- 11. 成功啓動後Android應用失敗
- 12. autosavedContentsFileURL成功後自動保存爲零
- 13. satellizer redirectUri不成功後成功驗證
- 14. 我用這段代碼成功地阻止了XSS攻擊嗎?
- 15. jQuery ajax後完成/成功/刪除後
- 16. PHP中的XSS過濾功能
- 17. 如何運行的功能後,我的jQuery的動畫完成它的工作
- 18. 32位Windows(64位作品)上的WTSQueryUserToken後的「Win32Exception:操作成功完成」
- 19. jQuery的自動完成功能選擇:功能不工作
- 20. IzPack - 成功安裝後生成的XML
- 21. jquery功能完成後啓動下一個功能
- 22. 功能完成後刷新網址,再次啓動功能
- 23. System.ComponentModel.Win32Exception:操作成功完成
- 24. 直到上一個動作完成後的延遲動作?
- 25. 「無法啓動程序」在調試後立即成功生成
- 26. Yii2成功後生成動態Flash消息
- 27. 根頁面不成功後,在離子3成功自動持續登錄3
- 28. System.ComponentModel.Win32Exception:操作成功
- 29. 功能PHP防止SQL注入和XSS
- 30. Android - 帶有自動完成功能的searchview在動作欄內
所有主流瀏覽器都支持HttpOnly標誌,所以我會說最後一部分是關鍵。 – Erlend
@Erlend是的。我同意 – Anesh